13 Security Lab

Fakenet은 오픈소스 형태로 제공되고 있는 네트워크 시뮬레이션 툴이다. 좀 더 명확히는 윈도우즈시스템에서 발생하는 서버와의 통신에 대해서 서버가 살아있지 않아도 살아 있는 것처럼 테스트 해준다. 악성코드를 수집 후 행위를 분석할 때, 그 C&C 서버 또는 다운로드 서버는 그 라이프사이클이 짧아 금방 닫히는 경우가 많아 어려움을 겪는데 이에 유용하게 사용 할 수 있다. 오픈소스 형태로 Github에서 소스코드를 받을 수 있지만, 릴리즈 된 바이너리 또한 제공하고 있으므로 아래 주소에서 받아 사용 할 수 있다. https://github.com/fireeye/flare-fakenet-ng/releases 만약 해당 서버가 살아있지 않은 경우, 세션을 맺은 이후 패킷을 전송하거나 요청하는 부분의 행위를 알..

최근에 VB.NET 으로 되어진 코드에 대해 크립터로 난독화 해왔습니다. 주로 우리가 했던 것은 그 로직과 암호화 방법을 찾는 것이었는데 제가 생각하기에는 리버싱의 가장 어려운 부분은 로직을 찾는 것이지 패치나 숨겨진 부분을 찾는 것이 아닌 것 같습니다. 그래서 여기서는 다음 두가지를 다루어 보고자 합니다. - anti-reversing protection 제거 - 디컴파일, 실행 가능하게 프로그램 수정 여기 난독화 해제에 대한 많은 내용들이 있지만, 이 것들은 일단 뒤로 넘기고 수동으로 따라가면서 한번 스스로 해봅니다. (그게 진짜로 도움 됨 ) DnSpy를 통해 코드를 로드 해봅니다. 그리고 우리의 모듈과 클래스 그리고 디컴파일되지 않은 코드들 안에 정의 된 메소드들이 뭔지 살펴 봅니다. [messe..

WMI 는 윈도우즈 전반적인 관리기능을 제공하는 인프라라고 설명하고 있다. Windows Management Instrumentation Purpose Windows Management Instrumentation (WMI) is the infrastructure for management data and operations on Windows-based operating systems. You can write WMI scripts or applications to automate administrative tasks on remote computers but WMI also supplies management data to other parts of the operating system and pro..

C에서는 다음과 같은 방법으로 참조 호출 방법 (Call by Reference) 를 사용 1 2 3 4 5 6 7 8 9 10 11 12 13 void dataCalc(int *data) { *data = *data + 1; } int main() { int data = 1; dataCalc(&data); print ("data : %d", data); } cs 결과: data : 2 하지만 파이썬에서는 명시적인 Call by Reference 가 불가 (공식 manual에는 call by assignment) 넘겨지는 객체의 종류에 따라서 Call by Reference 또는 Call by Value 가 결정 됨 1. immutable object immutable object인 int, float,..

A curated list of awesome deobfuscation tools for reverse engineers. 1. Balbuzardhttps://bitbucket.org/decalage/balbuzard/wiki/HomeBalbuzard is a package of malware analysis tools in python to extract patterns of interest from suspicious files (IP addresses, domain names, known file headers, interesting strings, etc). It can also crack malware obfuscation such as XOR, ROL, etc by bruteforcing an..

1. 이미 감염 된 환경에서 MBR 영역에 대한 덤프 수집 대략적인 어셈블리 확인 2. Virtual Machine Guest OS에 해당 MBR 덤프 덮어 씌워 감염 된 환경 만들기 3. IDA Pro 를 통한 VM Guest OS 디버깅 세팅 1) Vmware 이미지 경로에서 확장자 vmx 파일을 열기 (vmx 가 설정파일) 2) VMware에 디버그 옵션 설정 추가 후 저장debugStub.listen.guest32 = "TRUE"debugStub.hideBreakpoints = "TRUE"debugStub.listen.guest32.remote = "TRUE"monitor.debugOnStartGuest32 = "..

Ransomware Infection Techniques 1. 실제 Locky 동작 시 내부에 있는 인코딩 된 PE를 풀어내기 위해 커맨드라인으로 받은 인자 값을 사용(인자 없이 dll 제대로 동작 X) [분석 샘플]JS MD5 : 7513c6a1557829a074cb3ce547b81c92DLL MD5 : 1906b171a386a1a9db87ea6ac002ff52실행 인자 "qwerty 323" 관련 Ref. : https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/ 2. 하드디스크, USB 외에 네트워크 공유..

티스토리에서 공식적으로 제공 하는 블로그 반응형 스킨 #1, #2 를 2016년에 내놓았다. 아래는 #2에 대한 공지 및 설명페이지 (http://notice.tistory.com/2284) 해당 스킨은 블로그 관리페이지 스킨탭에서 확인 할 수 있다. 그런데 이 스킨 사용 후 블로그 내부 검색 시 검색결과를 제대로 출력하지 않는 문제가 생겼었고 고객센터에 문의하였다.비슷한 문제를 겪고 있는 사람이 있는듯 문제 화면.... 위와 같이 "Windows"로 검색하면 54개의 글이 검색 되지만, 화면에 표시되지 않아 정상적인 검색이 어려운 상황 ! 원인은 추가한 플러그인 문제, 설정 등 다양하겠지만 나의 경우에는 아래와 같이 답변받아 해결하였다. 관리 센터 > 꾸미기 > 화면 설정 > 화면출력 > 선택 화면 >..

자바스크립트를 통해 실행 되는 이 악성코드는 감염 시 로컬 드라이브(C:\)의 특정 경로에 파일을 복사 후, 실행 중 상태로 있다가, USB 연결 시 USB를 감염시키고 원본파일을 숨겨 놓는다. 자바스크립트 형태이지만, 아래와 같이 난독화 되어있어 의미를 바로 알아낼 수는 없다. ... 자바스크립트를 통해 실행 되는 이 악성코드는 감염 시 USB 연결 여부를 확인하고 USB 안에 있는 파일들을 ".Trashes"라는 폴더를 만들어서 숨겨 놓는다. 그리고 마치 아무 일도 안일어난 것 처럼 똑같은 모양의 바로가기파일을 그 자리에 만들어 놓는데, 그 바로가기를 실행하게 되면 악성코드를 실행시킨 후에 .Trashes 폴더에 백업 된 원래 파일들을 실행 시켜, 눈치 채지 못하게 한다. ..

Windows XP 하위 환경에서 GetDriveType()을 통해 플로피 디스크의 정보를 얻어올 경우 아래와 같은 팝업을 만나게 된다. 그림 1. GetDriveType() Error 에러 메시지는 "Exception processing message c0000013 Prameters bla~ bla~" 로 나오며, "Windows - 디스크 없음" 을 통해 디스크 접근 시 문제가 발생 했음을 알 수 있다. 구글링 결과 이미 비슷한 에러가 다뤄 진 바 있으며, 같은 이슈로 "Windows No Disk Exception Processing Message c0000013 Parameters 75b6b7c 4 75b6bf7c 75b6bf7c" 에러가 뜬다는 글을 확인 할 수 있다. (Ref. : http:..